Proporcionar visibilidad y control sobre el conjunto de la red para que empresas y organismos públicos tengan bajo control los riesgos que suponen las amenazas avanzadas persistentes y los ataques dirigidos. Este es el principal cometido de una solución que detecta e identifica las amenazas en tiempo real mediante un análisis en profundidad, facilitando los datos útiles necesarios para la prevención, la identificación y la neutralización de los ataques dirigidos al ámbito empresarial.
En este sentido, la propuesta de la multinacional japonesa puede implementarse por componentes individuales o como plataforma de ciberseguridad, estableciendo la base de Trend Micro Custom Defense (se trata de una solución que responde a ataques específicos y que permite a los negocios adaptar de manera rápida su protección). Para su funcionamiento, Deep Discovery emplea motores especializados y recurre a análisis exhaustivos basados en la correlación de información sobre amenazas locales y globales buscando una respuesta para cada situación.
Trend Micro Deep Discovery centra sus esfuerzos en 4 áreas diferentes
Protección de la red
Gracias a una supervisión del tráfico de la red de 360 grados, Deep Discovery Inspector brinda una visibilidad de toda la red controlando todos los puertos y más de 80 protocolos para identificar ataques en cualquier punto y, de esta manera, garantizar la protección más amplia posible. Así, los motores de detección especializados y el aislamiento de procesos personalizados identifican y analizan malware, comunicaciones de comando y control, y actividades evasivas de atacantes. Además, la información exhaustiva sobre amenazas posibilita una respuesta rápida y se puede compartir automáticamente con otros productos de seguridad para crear una defensa personalizada en tiempo real frente a los atacantes.
Entre sus principales características, existe un único appliance disponible con diferentes capacidades y que se puede implementar tanto en hardware como en configuraciones virtuales. Se encuentra preparado para detectar ataques ante cualquier sistema, ya sea Windows, Linux, Android o Mac OS X.
Protección del correo electrónico
Viene dado de la mano de Deep Discovery Email Inspector, appliance de seguridad para el e-mail basado en técnicas de detección y aislamiento de procesos que ayudan a identificar (y también a bloquear) los correos electrónicos de phishing dirigidos durante la fase inicial de la mayor parte de los ataques dirigidos. En este punto, los riesgos de dichos ataques se logran reducir gracias a una capa de inspección transparente que descubre contenido, archivos adjuntos (como ficheros ejecutables de Windows, Office, contenido web, PDFs, etcétera) y enlaces de URL maliciosos que pasarían desapercibidos con respecto a la seguridad estándar o clásica del correo electrónico.
Email Inspector se aloja en la red junto con el gateway de correo electrónico actual o los productos de seguridad para el servidor. Puede funcionar tanto en modo MTA (bloqueo) como en modo BCC (supervisión únicamente) y no requiere de cambios en la política ni en la gestión de los productos ya existentes. En otro orden de cosas, las direcciones URL se analizan mediante reputación, análisis de contenido y simulación de aislamiento de procesos, mientras que el desbloqueo de archivos protegidos por contraseña y archivos comprimidos se efectúa aplicando tecnologías heurísticas y contraseñas suministradas por el cliente.
El puesto de trabajo
Para su protección, Tren Micro ha desarrollado Deep Discovery Endpoint Sensor: se trata de un monitor de seguridad sensible al contexto que genera informes de todas las actividades del sistema registradas para que los analistas de amenazas valoren la naturaleza y el alcance de un ataque.
A partir de aquí, y gracias a su información sobre ataques y otros indicadores de riesgo, puede utilizarse en combinación con los datos de seguimiento de puestos de trabajo para detectar infiltraciones y descubrir tanto el contexto global como la cronología de un ataque. Las investigaciones pueden utilizar parámetros individuales, archivos de OpenIOC y YARA o inteligencia de detección de los productos de Trend Micro; dichas investigaciones se ejecutarán desde una consola exclusiva o bien desde Trend Micro Control Manager basado en un enfoque centralizado
Para su funcionamiento, Endpoint Sensor emplea un cliente ligero que registra la actividad más significativa de los puestos de trabajo así como de los eventos, llevando a cabo un seguimiento en contexto a largo plazo y, así, disponer de un historial detallado al que los analistas acceden en tiempo real. También descubrimos paneles interactivos con guías para el aislamiento de procesos de la actividad a largo plazo, planificaciones de la actividad entre puestos de trabajo, información detallada de los resultados y exportación de los resultados de investigación. Endpoint Sensor genera informes de las actividades detalladas del sistema que registra en los servidores, equipos de sobremesa y portátiles basados en Windows, con independencia de su ubicación.
Protección integrada
Finalmente, se encuentra Deep Discovery Analyzer. Es un servidor de análisis por aislamiento personalizado que mejora la protección frente a los ataques dirigidos y productos de seguridad de terceros. Sus prestaciones incluyen la integración con el correo electrónico y con los productos para seguridad web de la firma, además de utilizarse para aumentar o centralizar el análisis de aislamiento de procesos de otros productos de Deep Discovery. Incluye (junto a una API de servicios web) entornos personalizados de aislamiento de procesos que se ajustan a las configuraciones del software de los equipos de sobremesa, lo que se traduce en una mejor precisión de las detecciones y en un menor número de falsos positivos.
Trend Micro España Plaza de las Cortes, número 4 – 8º Izq. 28014 Madrid Teléfono. 91 369 70 30 Web: www.trendmicro.es recio: A consultar
