{"id":17107,"date":"2018-10-09T14:03:47","date_gmt":"2018-10-09T12:03:47","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=17107"},"modified":"2018-10-09T14:03:47","modified_gmt":"2018-10-09T12:03:47","slug":"cyberpaleontology-managed-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cyberpaleontology-managed-protection\/17107\/","title":{"rendered":"Ciberpaleontolog\u00eda: resultados impresionantes"},"content":{"rendered":"

Permitidme comenzar parafraseando una conocida<\/a> reflexi\u00f3n filos\u00f3fica: \u201c\u00bfCondiciona la profesi\u00f3n al individuo o el individuo condiciona su profesi\u00f3n?\u201d. Por lo visto, esta pregunta (en realidad, la original) se ha debatido durante m\u00e1s de 150 a\u00f1os. Y tras la invenci\u00f3n y expansi\u00f3n de Internet, parece que esta guerra santa continuar\u00e1 otros 150, por lo menos. Personalmente, no voy a mostrar mi apoyo ni a uno ni a otro; no obstante, me gustar\u00eda alegar a favor del dualismo<\/i> de una profesi\u00f3n y de un ser, ya que se influyen mutuamente, de muchas maneras y de forma continua.<\/p>\n

A finales de los 80, la virolog\u00eda inform\u00e1tica surgi\u00f3 en respuesta a la proliferaci\u00f3n creciente de programas maliciosos. Ya han pasado 30 a\u00f1os y la virolog\u00eda se ha convertido (m\u00e1s bien se ha fusionado, en \u00e9xtasis, con campos vecinos) en la industria de la ciberseguridad, que ahora dicta a menudo el desarrollo del ser<\/span> de la inform\u00e1tica: dada la inevitable competencia, solo sobrevive la tecnolog\u00eda con la mejor protecci\u00f3n.<\/p>\n

Durante estos 30 a\u00f1os que han tenido lugar desde finales de los 80, a nosotros (las empresas de antivirus) nos han llamado de todo. Pero lo m\u00e1s acertado de los \u00faltimos a\u00f1os, en mi humilde opini\u00f3n, es el meme de la ciberpaleontolog\u00eda<\/i>.<\/p>\n

De hecho, la industria ha aprendido a enfrentarse a epidemias masivas: ya sea de forma proactiva (protegiendo a usuarios de las epidemias de los \u00faltimos a\u00f1os, Wannacry<\/a> y ExPetr<\/a>) o reactiva (mediante el an\u00e1lisis de los datos de amenazas en la nube y las r\u00e1pidas actualizaciones). Pero en lo que respecta a los ciberataques dirigidos<\/i>, la industria en general todav\u00eda tiene mucho camino por delante: solo unas cuantas empresas cuentan con la madurez t\u00e9cnica y los recursos necesarios para poder hacerles frente, pero si a esto le a\u00f1ades un compromiso firme para exponerse a cualquier ciberamenaza, sin importar de d\u00f3nde proceda o cu\u00e1les sean sus motivos, solo queda una empresa: \u00a1KL! (Lo que me recuerda a algo que dijo Napoleon Hill: \u201cLa escalera del \u00e9xito nunca est\u00e1 abarrotada en la cima\u201d). Bueno, no hay duda de que estamos solos (en la cima de la escalera) y podemos afirmar que este compromiso capaz de enfrentarse a cualquiera sale mucho m\u00e1s caro y es mucho m\u00e1s problem\u00e1tico dadas las turbulencias geopol\u00edticas actuales, pero nuestra experiencia nos dice que es lo correcto y los clientes lo confirman con sus confianza<\/a>.<\/p>\n

\"\"<\/p>\n

Una operaci\u00f3n de ciberespionaje es un proyecto de alta tecnolog\u00eda, muy largo, caro y complejo. Es evidente que a los autores de estas operaciones les preocupa y molesta ser detectados y muchos piensan<\/a> que intentan deshacerse de los \u201cindeseables\u201d desarrolladores con diferentes m\u00e9todos mediante la manipulaci\u00f3n de los medios<\/a>. Hay otras teor\u00edas similares:<\/p>\n

\"\"<\/a><\/p>\n

Pero me estoy desviando del tema\u2026<\/p>\n

Ahora bien, estas operaciones de ciberespionaje pueden permanecer fuera del alcance de los radares durante muchos a\u00f1os. Los autores cuidan bien su inversi\u00f3n<\/span> equipo: atacan solo a unos pocos objetivos especialmente seleccionados (sin ataques masivos, que son m\u00e1s f\u00e1ciles de detectar), lo prueban en todos los productos de ciberseguridad populares, cambian de t\u00e1ctica r\u00e1pidamente si fuera necesario y mucho m\u00e1s. Por tanto, podemos asumir que la gran cantidad de ataques dirigidos<\/a> que se han detectado son solo la punta del iceberg. Y la \u00fanica forma de destapar estos ataques es a trav\u00e9s de la ciberpaleontolog\u00eda<\/a>, mediante la recopilaci\u00f3n meticulosa y a largo plazo de datos para estructurar una \u201cvisi\u00f3n global\u201d, la cooperaci\u00f3n con expertos de otras empresas, la detecci\u00f3n y el an\u00e1lisis de anomal\u00edas y el posterior desarrollo de las tecnolog\u00edas de protecci\u00f3n.<\/p>\n

\"\"<\/p>\n

En el campo de la ciberpaleontolog\u00eda hay dos subesferas principales: las investigaciones espec\u00edficas (despu\u00e9s de detectar algo de casualidad y perseguirlo) y las investigaciones operacionales sistem\u00e1ticas (el proceso de un an\u00e1lisis planeado del panorama inform\u00e1tico corporativo).<\/p>\n

Las ventajas obvias de la ciberpaleontolog\u00eda operacional son de gran valor para las grandes organizaciones (ya sean estatales o corporativas), que son siempre el objetivo principal de los ataques dirigidos. No obstante, no todas las organizaciones tienen la oportunidad o capacidad de emprender por s\u00ed mismos la ciberpaleontolog\u00eda operacional: los especialistas (para contratar) escasean en esta \u00e1rea y tambi\u00e9n son caros. Nosotros contamos con muchos<\/a> de ellos por todo el mundo<\/a> (con una amplia experiencia y reputaci\u00f3n). Por consiguiente, dada nuestra fuerza en este campo y la necesidad de nuestros clientes corporativos (fiel a los principios del mercado de la oferta y la demanda), hemos decidido elaborar un nuevo servicio para el mercado: Kaspersky Managed Protection.<\/i><\/a><\/p>\n

Kaspersky Managed Protection es nuestro sistema de subcontrataci\u00f3n de ciberpaleontolog\u00eda.<\/p>\n

Primero, nuestro servicio en la nube recopila metadatos de las redes y la actividad del sistema. Entonces, se agrega a los datos de nuestro KSN<\/a> y, despu\u00e9s, todo lo que ya se ha analizado por ambos sistemas inteligentes y expertos de ciberpaleontolog\u00eda<\/span>\u00a0 (por consiguiente, la estrategia HuMachine<\/a>).<\/p>\n

Volvamos a la recopilaci\u00f3n de datos\u2026 Lo mejor de todo es que Kaspersky Managed Protection no requiere instalaci\u00f3n de sensores adicionales para la recopilaci\u00f3n de metadatos. El servicio funciona al un\u00edsono junto con productos ya instalados (en concreto, Kaspersky Endpoint Security<\/a> y Kaspersky Anti-Targeted Attack<\/a>, y en el futuro, posiblemente, otros desarrolladores de productos), cuya telemetr\u00eda utilizan en la base de su \u201creconocimiento m\u00e9dico\u201d > diagn\u00f3stico > prescripci\u00f3n m\u00e9dica.<\/p>\n

Pero lo m\u00e1s interesante es que lo que se oculta en la agregaci\u00f3n de datos de KSN.<\/p>\n

El servicio ya cuenta con gigabytes de telemetr\u00eda de diferentes sensores: eventos del SO, comportamiento de procesos y su interacci\u00f3n red, actividad de servicios de sistema y aplicaciones, veredictos de productos de seguridad (incluidos la detecci\u00f3n de comportamiento inusual, sistema de detecci\u00f3n de intrusos, aislamiento de procesos, an\u00e1lisis de comprobaci\u00f3n de objetos, normas Yara\u2026 \u00bfSigue d\u00e1ndote vueltas la cabeza?). Pero ejecutado de forma correcta, de todo este caos se pueden conseguir t\u00e9cnicas<\/a> que te ayudar\u00e1n a detectar ataques dirigidos.<\/p>\n

En esta etapa, para separar el trigo de la paja, utilizamos tecnolog\u00eda patentada de detecci\u00f3n, investigaci\u00f3n y eliminaci\u00f3n de ataques dirigidos en la nube. Primero, KSN etiqueta de forma autom\u00e1tica la telemetr\u00eda recibida seg\u00fan la popularidad de los objetos, si pertenece a un grupo u otro, las similitudes con otras amenazas conocidas y muchos otros par\u00e1metros. En otras palabras, extraemos la paja y adjuntamos etiquetas especiales en el resto de contenido \u00fatil (diferentes granos de trigo).<\/p>\n

Entonces, se procesan autom\u00e1ticamente las etiquetas a trav\u00e9s de un mecanismo correlacional con aprendizaje autom\u00e1tico, lo que plantea hip\u00f3tesis sobre posibles ciberataques. En el lenguaje de los paleont\u00f3logos, estudiamos los fragmentos para encontrar similitudes con los dinosaurios que ya est\u00e1n descubiertos y tambi\u00e9n buscamos combinaciones inusuales de fragmentos que podr\u00edan ser caracter\u00edsticos de dinosaurios desconocidos para la ciencia.<\/p>\n

El mecanismo correlacional recae en una multitud de fuentes de informaci\u00f3n para desarrollar hip\u00f3tesis. En los 21 a\u00f1os de KL hemos acumulado los datos suficientes<\/em> (siendo modesto) para estas hip\u00f3tesis: datos sobre desviaciones estad\u00edsticas sospechosas de la actividad normal, sobre la t\u00e1ctica, tecnolog\u00edas y procesos de varios ataques dirigidos o los datos recopilados de las investigaciones de cibercr\u00edmenes en las que hemos participado.<\/p>\n

Una vez que hemos puesto en com\u00fan todas las hip\u00f3tesis, llega el momento de poner el cerebro de los ciberpaleont\u00f3logos en marcha. Este experto realiza cosas que la inteligencia artificial es incapaz: \u00e9l\/ella comprueba la autenticidad de las hip\u00f3tesis presentadas, analiza los objetos y acciones sospechosos, elimina los falsos positivos, ense\u00f1a el aprendizaje autom\u00e1tico a los robots y desarrolla normas para descubrir nuevas amenazas. No obstante, alg\u00fan d\u00eda pr\u00e1cticamente todo lo que hoy se ejecuta de forma manual por un ciberpaleont\u00f3logo ser\u00e1 realizado de forma autom\u00e1tica, se trata de un proceso sin fin de conversi\u00f3n de experiencia en investigaciones y de investigaciones que se convierte en servicios automatizados.<\/p>\n

De esta forma, gradualmente, paso a paso, con la ayuda de tecnolog\u00edas innovadoras y supervisadas por expertos, se pueden encontrar entre toneladas de tierra, rastros de monstruos<\/span> ataques dirigidos desconocidos hasta el momento. Cuanta m\u00e1s tierra sin procesar reciba Kaspersky Managed Protection y cuanto m\u00e1s excave en el tiempo, m\u00e1s probabilidades hay de que descubra lo \u201cindescubrible\u201d y, por consiguiente, destape ataques desconocidos. Lo m\u00e1s importante es que este es el medio de infecci\u00f3n m\u00e1s eficaz, ya que esta tierra sin procesar con fragmentos de dinosaurio solo se encuentra en las redes de las grandes organizaciones.<\/p>\n

Para concluir, os voy a contar en pocas palabras c\u00f3mo Kaspersky Managed Protection complementa nuestro Centro de operaciones de seguridad (SOC, por sus siglas en ingl\u00e9s), el centro de control para los incidentes de seguridad de la informaci\u00f3n.<\/p>\n

Evidentemente, Kaspersky Managed Protection no remplazar\u00e1 el SOC, pero (i) podr\u00eda impulsar su creaci\u00f3n, ya que resuelve con elegancia una simple tarea (aunque es la m\u00e1s importante): destapar ataques de cualquier complejidad; (ii) podr\u00eda ampliar la competencia de un SOC existente al a\u00f1adirle ciberpaleontolog\u00eda; y (iii) por \u00faltimo y m\u00e1s importante: podr\u00eda generar actividad comercial adicional para los proveedores de servicios de seguridad gestionados al ampliar las aplicaciones del servicio de funciones expansibles de ciberpaleontolog\u00eda. Creo que este tercer factor podr\u00eda ser el vector principal en el desarrollo de Kaspersky Managed Protection.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dada la necesidad de los clientes corporativos, fieles a los principios del mercado de oferta y demanda, hemos decidido presentar un nuevo servicio de mercado: Kaspersky Managed Protection. <\/p>\n","protected":false},"author":13,"featured_media":17108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[368,2760,2761],"class_list":{"0":"post-17107","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-ciberpaleontologia","11":"tag-soc"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cyberpaleontology-managed-protection\/17107\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cyberpaleontology-managed-protection\/14418\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/12056\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/16350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cyberpaleontology-managed-protection\/14543\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/13509\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cyberpaleontology-managed-protection\/16412\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cyberpaleontology-managed-protection\/21448\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/24118\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cyberpaleontology-managed-protection\/11070\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cyberpaleontology-managed-protection\/11443\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cyberpaleontology-managed-protection\/17868\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cyberpaleontology-managed-protection\/17444\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cyberpaleontology-managed-protection\/21296\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cyberpaleontology-managed-protection\/21303\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=17107"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17107\/revisions"}],"predecessor-version":[{"id":17122,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17107\/revisions\/17122"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/17108"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=17107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=17107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=17107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}