04/05/2018 Publicado por: Softeng

Detección y protección contra amenazas avanzadas de Azure

El aumento de la conciencia de las empresas sobre la perspectiva actual de las ciberamenazas ha supuesto también el desarrollo de la creatividad de los atacantes y hasta el usuario más previsor y astuto puede ser víctima de ellos.

En antecedentes...¿sabías qué?

  • 286 días se tarda en detectar una intrusión.
  • Más del 63% de las intrusiones de red se deben a credenciales comprometidas.
  • 3,8M de dólares es el coste medio de una brecha en la seguridad de los datos para una compañía.

Aunque tengamos protegida la identidad de nuestros usuarios y datos alojados en la nube, las posibles vulnerabilidades en VPN's e infraestrutura de servidores (especialmente los controladores de dominio - con su directorio activo local), junto a que los usuarios cometan errores (por ejemplo caer en un ataque de phishing o reutilizar contraseñas en sitios web inseguros), proporcionan vías alternativas para que los ciberdelincuentes puedan entrar hasta la "cocina".

Los atacantes, en esos casos, se mueven rápido.. y una vez obtienen las credenciales de cualquier usuario, logran asignarse privilegios de administrador (con la ayuda de archivos de log, datos residentes en memoria, archivos no encriptados y otros mecanismos), y ... ya los tenemos dentro, sin poder hacer nada (por un tiempo superior a 140 días de media hasta ser descubiertos). Es más, debido a que muchas empresas todavía tienen datos en su infraestructura local, desafortunadamente, cuando se trata de ataques on-premise, "la barrera de red" que habitualmente tienen las empresas para mantenerse teóricamente a salvo, evita en realidad que la inteligencia basa en la nube de otros productos Microsoft (como AAD Identity Protection, Acceso Condicional de Azure AD y Cloud App Security) puedan ayudarlas a mantener seguros los datos alojados físicamente en su organización.

La solución: Azure Advanced Threat Protection

Detección y protección contra amenazas avanzadas de Azure

Azure Advanced Threat Protection (en adelante Azure ATP) está diseñado para ayudar a las empresas a detectar y analizar ataques avanzados en infraestructura local o híbrida.

Esta tecnología permite entender de forma rápida y sencilla qué ocurre en su red, identificando rápidamente actividades sospechosas y proporcionando información clara sobre las amenazas.

En líneas generales con Azure ATP puedes:

  • Detectar actividad sospechosa de usuarios y dispositivos a través de análisis basado ​​en el aprendizaje automático y la inteligencia de amenazas de Microsoft.
  • Proteger tu Directorio Activo (y por tanto a tus usuarios), a través del análisis continuo de los protocolos de autenticación.
  • Obtener información clara y en tiempo real de la escala de tiempo de los ataques para responder con rapidez.
  • Monitorizar múltiples puntos de entrada a través de la integración con Windows Defender ATP.

¿Cómo trabaja?

Azure ATP actúa siguiendo 4 pasos:

1-Análisis
Analiza la información recogida de varios orígenes de datos, como registros, eventos de la red, protocolo de autenticación de Directorio Activo y tráfico de los controladores de dominio.

2-Aprendizaje
Una vez analizada la red, Azure ATP comienza a aprender y generar perfiles de los comportamientos de usuarios, dispositivos y recursos utilizando la tecnología de autoaprendizaje (Machine learning) de Microsoft.

Detección y protección contra amenazas avanzadas de Azure

                                                                                                                                 Ficha de perfil de usuario generada

3-Detección
Gracias a la tecnología de autoaprendizaje y la inteligencia de amenazas de Microsoft Intelligent Security Graph (tecnología que analiza miles de millones de datos de centros globales de la compañía para acceder a información actualizada sobre tendencias de ataques) Azure ATP es capaz de detectar 3 grupos de ataques o amenazas:

Detección y protección contra amenazas avanzadas de Azure1- Ataques malintencionados
Detecta técnicas maliciosas conocidas como:
 

  • Pass-the-Ticket 
  • Pass-the-Hash 
  • Overpass-the-Hash
  • Y muchas más orientadas al robo de credenciales.         

                                                                                                                                                      

Detección y protección contra amenazas avanzadas de Azure

2- Comportamiento anormal
El aprendizaje automático revela actividades sospechosas y comportamientos irregulares como:
 

  • Inicios de sesión anómalos
  • Amenazas desconocidas
  • Uso compartido de contraseña

Detección y protección contra amenazas avanzadas de Azure

3- Problemas y riesgos relacionados con la seguridad
Gracias a la inteligencia de amenazas integrada de Microsoft es capaz de identificar problemas de seguridad conocidos:
 

  • Protocolos débiles
  • Vulnerabilidades de protocolo conocidas
  • Ruta de desplazamiento lateral a cuentas confidenciales (se produce cuando se compromete una cuenta de un usuario no confidencial para obtener acceso a cuentas con mayores privilegios, por ejemplo, la cuenta administrador)

Detección y protección contra amenazas avanzadas de Azure

                                                                                                                                 Vista del portal de Azure ATP que muestra rutas de desplazamientos laterales

A través de esta vista, Azure ATP muestra las cuentas confidenciales de la red que son vulnerables debido a su conexión con cuentas no confidenciales o recursos.

4-Alerta
Después de la detección, alerta y presenta la información en el portal del área de trabajo de ATP de Azure, incluida una vista clara de quién, qué, cuándo y cómo, recomendando además acciones para la remediación.

A menudo las herramientas de seguridad de TI tradicionales no están preparadas para controlar cantidades de datos cada vez mayores y emiten alertas innecesarias que distraen de las amenazas reales. Con Azure ATP, las alertas se producen una vez que la actividad sospechosa es contrastada con los perfiles de comportamiento en contexto, reduciendo de esta manera los falsos positivos.

Detección y protección contra amenazas avanzadas de Azure

En esta imagen se muestra la alerta que notifica la sospecha de que se intentó acceder desde un servidor no reconocido o admitido por la red de la empresa.

Detección y protección contra amenazas avanzadas de Azure

En esta imagen se muestra el panel de aviso de Azure ATP en el que se notifica la sospecha de que se intentó perpetrar un ataque denominado "Pass-the-ticket" (Robo de identidad) en los equipos cliente 1 y 2 de la red.

Integración con Windows Defender ATP
Azure ATP se integra con Windows defender ATP para obtener una solución contra amenazas mucho más completa. Mientras que ATP de Azure supervisa el tráfico en los controladores de dominio, ATP de Windows Defender supervisa los puntos de conexión (los dispositivos reales que se utilizan) recopilando información sobre señales de comportamiento del sistema operativo.

Seguridad para ataques y amenazas avanzadas de Microsoft
Microsoft cuenta con una gran cantidad de servicios y productos que protegen a las empresas.  No obstante, en este caso queremos destacar dos de los productos que protegen a las organizaciones de las amenazas y ataques más avanzados y forman parte de la familia ATP:
  • Office 365 ATP o Advanced Threat Protection: Funciona para proteger su correo electrónico, archivos y aplicaciones de Office 365 contra posibles ataques. Funciona asegurando tu bandeja de entrada contra amenazas avanzadas, protegiendo contra archivos adjuntos no seguros y protegiendo tu entorno cuando un usuario hace clic en un enlace malicioso.  Más información...
  • Protección avanzada contra amenazas de Windows Defender o Windows Defender ATP: Generalmente se combina con Azure ATP para detectar y prevenir toda actividad maliciosa. Sin embargo, su atención se centra en la detección y protección de los puntos finales: los dispositivos reales que se utilizan en las empresas. Más información...

Puedes adquirir Azure ATP dentro de la suite Enterprise Mobility + Security 5 (EMS E5), con Microsoft 365 E5 o como producto independiente.

¿Quieres saber más? Contacta con nosotros para descubrir cómo proteger tu empresa!


Sí, quiero saber más

 

 

<< volver al blog
FacebookTwitterLinkedInWhatsapp
Enviando...

¿Quieres recibir los artículos en tu correo?


Suscripciones al Blog Rss del Blog