21/11/2020 publicat per: Softeng

Detección y protección contra amenazas avanzadas mediante Azure ATP

L'augment de la consciència de les empreses sobre la perspectiva actual de les ciberamenaces ha suposat també el desenvolupament de la creativitat dels atacants i fins a l'usuari més previsor i astut pot ser víctima d'ells.

En antecedents ... sabies què?

  • 286 dies es triga a detectar una intrusió.
  • Més de el 63% de les intrusions de xarxa es deuen a credencials compromeses.
  • 3,8m de dòlars és el cost mitjà d'una bretxa en la seguretat de les dades per a una companyia.

Encara que tinguem protegida la identitat dels nostres usuaris i dades allotjats en el núvol, les possibles vulnerabilitats en VPN 's i infraestrutura de servidors (especialment els controladors de domini - amb el seu directori actiu local), al costat de que els usuaris cometin errors (per exemple caure en un atac de phishing o reutilitzar contrasenyes en llocs web insegurs), proporcionen vies alternatives perquè els ciberdelinqüents puguin entrar fins a la "cuina".

Els atacants, en aquests casos, es mouen ràpid .. i un cop obtenen les credencials de qualsevol usuari, aconsegueixen assignar privilegis d'administrador (amb l'ajuda d'arxius de log, dades residents en memòria, arxius no encriptades i altres mecanismes), i ... ja els tenim dins, sense poder fer res (per un temps superior a 140 dies de mitjana fins a ser descoberts). És més, pel fet que moltes empreses encara tenen dades en la seva infraestructura local, desafortunadament, quan es tracta d'atacs on-premissa, "la barrera de xarxa" que habitualment tenen les empreses per mantenir-se teòricament fora de perill, evita en realitat que la intel·ligència basa en el núvol d'altres productes Microsoft (com AAD Identity Protection, Accés Condicional de Azure AD i Cloud App Security) puguin ajudar-les a mantenir assegurances les dades allotjats físicament en la seva organització.

La solució: Microsoft Defensar for Identity

Detección y protección contra amenazas avanzadas de Azure

Microsoft Defensar for Identity (anteriorment denominat Azure Advanced Threat Protection) està dissenyat per ajudar les empreses a detectar i analitzar atacs avançats en infraestructura local o híbrida.

Aquesta tecnologia permet entendre de forma ràpida i senzilla què passa a la seva xarxa, identificant ràpidament activitats sospitoses i proporcionant informació clara sobre les amenaces.

En línies generals amb Defensar for Identity pots:

  • Detectar activitat sospitosa d'usuaris i dispositius a través d'anàlisis basat en l'aprenentatge automàtic i la intel·ligència d'amenaces de Microsoft.
  • Protegir la teva Directori Actiu (i per tant als teus usuaris), a través de l'anàlisi contínua dels protocols d'autenticació.
  • Obtenir informació clara i en temps real de l'escala de temps dels atacs per respondre amb rapidesa.
  • Monitoritzar múltiples punts d'entrada a través de la integració amb Windows Defensar for Endpoint.

Com treballa?

Defensar for Identity actua seguint 4 passos:

1-Anàlisi
Analitza la informació recollida de diversos orígens de dades, com registres, esdeveniments de la xarxa, protocol d'autenticació de Directori Actiu i tràfic dels controladors de domini.

2-Aprenentatge
Un cop analitzada la xarxa, Defensar for Identity comença a aprendre i generar perfils dels comportaments d'usuaris, dispositius i recursos utilitzant la tecnologia d'autoaprenentatge (Machine learning) de Microsoft.

Detección y protección contra amenazas avanzadas de Azure

                            Fitxa de perfil d'usuari generada

3-Detecció
Gràcies a la tecnologia d'autoaprenentatge i la intel·ligència d'amenaces de Microsoft Intelligent Security Graph (tecnologia que analitza milers de milions de dades de centres globals de la companyia per accedir a informació actualitzada sobre tendències d'atacs) Defensar for Identity és capaç de detectar 3 grups d'atacs o amenaces:

Detección y protección contra amenazas avanzadas de Azure 1- Atacs malintencionats
Detecta tècniques malicioses conegudes com:

  • Pass-the-Ticket
  • Pass-the-Hash
  • Overpass-the-Hash
  • I moltes més orientades a el robatori de credencials.          

                                                                                                                                                      

Detección y protección contra amenazas avanzadas de Azure

2- Comportament anormal
L'aprenentatge automàtic revela activitats sospitoses i comportaments irregulars com:

  • Inicis de sessió anòmals
  • amenaces desconegudes
  • Ús compartit de contrasenya

Detección y protección contra amenazas avanzadas de Azure

3- Problemes i riscos relacionats amb la seguretat
Gràcies a la intel·ligència d'amenaces integrada de Microsoft és capaç d'identificar problemes de seguretat coneguts:

  • protocols febles
  • Vulnerabilitats de protocol conegudes
  • Ruta de desplaçament lateral a comptes confidencials (es produeix quan es compromet un compte d'un usuari no confidencial per accedir a comptes amb majors privilegis, per exemple, el compte administrador)

Detección y protección contra amenazas avanzadas mediante Azure ATP

                            Vista del portal de Microsoft Defensar for Identity que mostra rutes de desplaçaments laterals

A través d'aquesta vista, Microsoft Defensar for Identity mostra els comptes confidencials de la xarxa que són vulnerables a causa de la seva connexió amb comptes no confidencials o recursos.

4-Alerta
Després de la detecció, alerta i presenta la informació al portal de l'àrea de treball de Defensar for Identity, inclosa una vista clara de qui, què, quan i com, recomanant a més accions per a la remediació.

Sovint les eines de seguretat de TI tradicionals no estan preparades per controlar quantitats de dades cada vegada més grans i emeten alertes innecessàries que distreuen de les amenaces reals. Amb Defensar for Identity, les alertes es produeixen una vegada que l'activitat sospitosa és contrastada amb els perfils de comportament en context, reduint d'aquesta manera els falsos positius.

Detección y protección contra amenazas avanzadas de Azure

En aquesta imatge es mostra l'alerta que notifica la sospita que es va intentar accedir des d'un servidor no reconegut o admès per la xarxa de l'empresa.

Detección y protección contra amenazas avanzadas de Azure

En aquesta imatge es mostra el panell d'avís de Microsoft Defensar for Identity en el qual es notifica la sospita que es va intentar perpetrar un atac anomenat "Pass-the-tiquet" (Robatori d'identitat) en els equips client 1 i 2 de la xarxa.

Integració amb Microsoft Defensar for Endpoint
Defensar for Identity s'integra amb Microsoft Defensar for Endpoint per obtenir una solució contra amenaces molt més completa. Mentre que Defensar for Identity supervisa el trànsit en els controladors de domini, Defensar for Endpoint supervisa els punts de connexió (els dispositius reals que s'utilitzen) recopilant informació sobre senyals de comportament de sistema operatiu.

Seguretat per atacs i amenaces avançades de Microsoft
Microsoft compta amb una gran quantitat de serveis i productes que protegeixen les empreses. No obstant, en aquest cas volem destacar dos dels productes que protegeixen les organitzacions de les amenaces i atacs més avançats i formen part de la família Defensar:
  • Microsoft Defensar for Office 365: Funciona per protegir el seu correu electrònic, arxius i aplicacions de l'Office 365 contra possibles atacs. Funciona assegurant la teva safata d'entrada contra amenaces avançades, protegint contra arxius adjunts no segurs i protegint el teu entorn quan un usuari fa clic a un enllaç maliciós. Més informació ...
  • Microsoft Defensar for Endpoint: Generalment es combina amb Microsoft Defensar for Identity per detectar i prevenir tota activitat maliciosa. No obstant això, la seva atenció se centra en la detecció i protecció dels punts finals: els dispositius reals que s'utilitzen en les empreses. Més informació ...

Pots adquirir Microsoft Defensar for Identity dins de la suite Enterprise Mobility + Security 5 (EMS E5), amb Microsoft 365 E5 o com a producte independent.

Vols saber més? Contacta amb nosaltres per descobrir com protegir la teva empresa!


Sí, vull saber més

 

 

<< tornar al bloc
FacebookTwitterLinkedInWhatsapp
Cognoms *
Càrrec *
Nº empleats *
Enviant...

Vols rebre els articles al teu correu?


Suscripciones al Blog Rss del Bloc