04/05/2018 Publicado por: Softeng

Detección y protección contra amenazas avanzadas de Azure

El aumento de la conciencia de las empresas sobre la perspectiva actual de las ciberamenazas ha supuesto también el desarrollo de la creatividad de los atacantes y hasta el usuario más previsor y astuto puede ser víctima de ellos.

En antecedentes...¿sabías qué?

  • 286 días se tarda en detectar una intrusión.
  • Más del 63% de las intrusiones de red se deben a credenciales comprometidas.
  • 3,8M de dólares es el coste medio de una brecha en la seguridad de los datos para una compañía.

Por ese motivo, las empresas requieren de una seguridad que evolucione incluso más rápido que las amenazas actuales para ser capaces de responder de manera inmediata ante cualquier ataque, ya sea en las instalaciones o en la nube.

La solución: Azure Advanced Threat Protection

Detección y protección contra amenazas avanzadas de Azure

Azure Advanced Threat Protection (en adelante Azure ATP) está diseñado para ayudar a las empresas a detectar y analizar ataques avanzados y amenazas tanto entornos locales, nube e híbridos.

Esta tecnología permite entender de forma rápida y sencilla qué ocurre en su red, identificando rápidamente actividades sospechosas y proporcionando información clara sobre las amenazas.

En líneas generales con Azure ATP puedes:

  • Detectar actividad sospechosa de usuarios y dispositivos a través de análisis basado ​​en el aprendizaje automático y la inteligencia de amenazas de Microsoft.
  • Proteger la identidad de los usuarios de tu Directorio Activo, a través del análisis continuo de los protocolos de autenticación.
  • Obtener información clara y en tiempo real de la escala de tiempo de los ataques para responder con rapidez.
  • Monitorizar múltiples puntos de entrada a través de la integración con Windows Defender ATP.

¿Cómo trabaja?

Azure ATP actúa siguiendo 4 pasos:

1-Análisis
Analiza la información recogida de varios orígenes de datos, como registros, eventos de la red, protocolo de autenticación de Directorio Activo y tráfico de los controladores de dominio.

2-Aprendizaje
Una vez analizada la red, Azure ATP comienza a aprender y generar perfiles de los comportamientos de usuarios, dispositivos y recursos utilizando la tecnología de autoaprendizaje (Machine learning) de Microsoft.

Detección y protección contra amenazas avanzadas de Azure

                                                                                                                                 Ficha de perfil de usuario generada

3-Detección
Gracias a la tecnología de autoaprendizaje y la inteligencia de amenazas de Microsoft Intelligent Security Graph (tecnología que analiza miles de millones de datos de centros globales de la compañía para acceder a información actualizada sobre tendencias de ataques) Azure ATP es capaz de detectar 3 grupos de ataques o amenazas:

Detección y protección contra amenazas avanzadas de Azure1- Ataques malintencionados
Detecta técnicas maliciosas conocidas como:
 

  • Pass-the-Ticket 
  • Pass-the-Hash 
  • Overpass-the-Hash
  • Y muchas más orientadas al robo de credenciales.         

                                                                                                                                                      

Detección y protección contra amenazas avanzadas de Azure

2- Comportamiento anormal
El aprendizaje automático revela actividades sospechosas y comportamientos irregulares como:
 

  • Inicios de sesión anómalos
  • Amenazas desconocidas
  • Uso compartido de contraseña

Detección y protección contra amenazas avanzadas de Azure

3- Problemas y riesgos relacionados con la seguridad
Gracias a la inteligencia de amenazas integrada de Microsoft es capaz de identificar problemas de seguridad conocidos:
 

  • Protocolos débiles
  • Vulnerabilidades de protocolo conocidas
  • Ruta de desplazamiento lateral a cuentas confidenciales (se produce cuando se compromete una cuenta de un usuario no confidencial para obtener acceso a cuentas con mayores privilegios, por ejemplo, la cuenta administrador)

Detección y protección contra amenazas avanzadas de Azure

                                                                                                                                 Vista del portal de Azure ATP que muestra rutas de desplazamientos laterales

A través de esta vista, Azure ATP muestra las cuentas confidenciales de la red que son vulnerables debido a su conexión con cuentas no confidenciales o recursos.

4-Alerta
Después de la detección, alerta y presenta la información en el portal del área de trabajo de ATP de Azure, incluida una vista clara de quién, qué, cuándo y cómo, recomendando además acciones para la remediación.

A menudo las herramientas de seguridad de TI tradicionales no están preparadas para controlar cantidades de datos cada vez mayores y emiten alertas innecesarias que distraen de las amenazas reales. Con Azure ATP, las alertas se producen una vez que la actividad sospechosa es contrastada con los perfiles de comportamiento en contexto, reduciendo de esta manera los falsos positivos.

Detección y protección contra amenazas avanzadas de Azure

En esta imagen se muestra la alerta que notifica la sospecha de que se intentó acceder desde un servidor no reconocido o admitido por la red de la empresa.

Detección y protección contra amenazas avanzadas de Azure

En esta imagen se muestra el panel de aviso de Azure ATP en el que se notifica la sospecha de que se intentó perpetrar un ataque denominado "Pass-the-ticket" (Robo de identidad) en los equipos cliente 1 y 2 de la red.

Integración con Windows Defender ATP
Azure ATP se integra con Windows defender ATP para obtener una solución contra amenazas mucho más completa. Mientras que ATP de Azure supervisa el tráfico en los controladores de dominio, ATP de Windows Defender supervisa los puntos de conexión (los dispositivos reales que se utilizan) recopilando información sobre señales de comportamiento del sistema operativo.

Seguridad para ataques y amenazas avanzadas de Microsoft
Microsoft cuenta con una gran cantidad de servicios y productos que protegen a las empresas.  No obstante, en este caso queremos destacar dos de los productos que protegen a las organizaciones de las amenazas y ataques más avanzados y forman parte de la familia ATP:
  • Office 365 ATP o Advanced Threat Protection: Funciona para proteger su correo electrónico, archivos y aplicaciones de Office 365 contra posibles ataques. Funciona asegurando tu bandeja de entrada contra amenazas avanzadas, protegiendo contra archivos adjuntos no seguros y protegiendo tu entorno cuando un usuario hace clic en un enlace malicioso.  Más información...
  • Protección avanzada contra amenazas de Windows Defender o Windows Defender ATP: Generalmente se combina con Azure ATP para detectar y prevenir toda actividad maliciosa. Sin embargo, su atención se centra en la detección y protección de los puntos finales: los dispositivos reales que se utilizan en las empresas. Más información...

Puedes adquirir Azure ATP dentro de la suite Enterprise Mobility + Security 5 (EMS E5), con Microsoft 365 E5 o como producto independiente.

¿Quieres saber más? Contacta con nosotros para descubrir cómo proteger tu empresa!


Sí, quiero saber más

 

 

<< volver al blog
FacebookTwitterLinkedInWhatsapp
Enviando...

¿Quieres recibir los artículos en tu correo?


Suscripciones al Blog Rss del Blog