+58 (243) 246.42.15 | (424) 356.59.09info@abakusit.com

Consejos para detectar amenazas internas

Consejos-para-detectar-amenazas-internas

Los profesionales de seguridad están siendo constantemente advertidos sobre las amenazas internas. Nos han dicho que nuestras empresas necesitan el software de última generación, la inteligencia de amenazas integrada, y la capacidad de correlacionar cantidades masivas de registros de sucesos y contexto para armarnos contra estas amenazas.

Nos han dicho que estas herramientas son necesarias para bloquear ataques y recuperarse de ellos, si es que se tiene éxito. Desafortunadamente, cuando las compañías, eventualmente, se dan cuenta de que han sido comprometidas, también descubren que sus sistemas han sido comprometidos por un largo periodo de tiempo.

“Las amenazas internas pueden incluir una combinación de infiltrados maliciosos, comprometidos y descuidados”, señala Wade Williamson, director de marketing de productos en Vectra Networks. “Necesitará una clara visibilidad para identificar todas estas amenazas, pero se diferencian en el comportamiento y en la manera en la que la seguridad será capaz de detectarlos”.

Para ayudar a las empresas a detectar a los infiltrados lo más pronto posible hemos recolectado consejos de expertos de seguridad con el objetivo de ayudar a las compañías a encontrar ataques de infiltrados más temprano que tarde.

Esté atento a los patrones extraños en el tráfico de DNS

“DNS es, a menudo, una capa olvidada”, comenta Arno Meulenkamp, ingeniero de sistemas en Infoblox. “Se puede utilizar como una manera de remover datos. Los patrones extraños en el tráfico DNS, tales como los hashes, pueden ser señal de que algo está pasando”.

Comprobar los registros de autenticaciones host-to-host

“Cuando ve a alguien autenticarse a un host desde otro diferente mientras que al host de destino solo se puede autenticar a través del controlador de dominio, podría tener un problema”, comenta Yonathan Klijnsma, analista senior de Threat Intelligence en Fox-IT. “En este contexto, es importante saber qué herramientas utilizan los atacantes -tales como PSExec (y sus variantes) o Mimikatz- y buscar el tráfico asociado con esas herramientas. Es común que herramientas como estas sean usadas para movimientos laterales, para moverse entre las ventanas de una computadora en una red, usando comunicaciones host-to-host.

Verifique las credenciales de los empleados expuestas en la Web

“Los sitios web monitor paste tales como Pastebin para exponer las credenciales de los empleados”, señala Nagraj Seshadri, vicepresidente de marketing en Recorded Future. “Si se han explotado las credenciales filtradas en la Web, podría tener infiltrados y el empleado, dueño de las credenciales, no lo sabría. Tome medidas cambiando las contraseñas y considere el hecho de implementar una autenticación de dos factores”.

Observe el flujo de datos alrededor de los activos más importantes

“Los infiltrados maliciosos, a menudo, robarán grandes volúmenes de datos en un corto periodo de tiempo. Si recogen grandes volúmenes de datos serán identificados fácilmente mediante el monitoreo de los activos internos”, comenta Williamson de Vectra Networks. “Al observar el tráfico interno, los equipos pueden ver rápidamente si los datos están siendo llevados fuera de la red o están rebotando entre múltiples dispositivos para ser removidos”.

Asigne múltiples inicios de sesión a servicios de almacenamiento basados en la nube

“Busque a usuarios que estén iniciando sesión en diferentes máquinas desde la misma cuenta, accediendo a grandes almacenes de datos en estos sistemas y sincronizando sus datos a servicios de almacenamiento basados en la nube como Dropbox”, comenta Itsik Mantin, director de investigación de seguridad en Imperva. “Un infiltrado podría aprovechar las credenciales comprometidas de los usuarios para acceder a sus cuentas de Dropbox -esta carga de datos podría, de lo contrario, parecer un uso comercial normal de los servicios”.

Utilice credenciales y archivos falsos como carnada

“Un infiltrado se moverá por toda la red buscando nuevas credenciales y usando sus recién descubiertos privilegios para acceder a los datos”, señala Haroon Meer, investigador en Thinkst. Con la creación de archivos de credenciales falsos para utilizarlos como carnada, podrá ver cuándo es que esas credenciales, que nunca deberían ser usadas, lo son”.

Busque ‘cosas’ que ya no existen

“Los infiltrados, a menudo, tratarán de cubrir sus huellas y el malware intentará seguir siendo persistente eliminando cosas”, anota Fabien Perigaud, experto en seguridad de Airbus Defence and Space – Cybersecurity. “Busque claves de registro, servicios y objetos de ayuda a los que se haya accedido, que se hayan usado o ejecutados de alguna otra manera en el pasado, pero ya no existen en la máquina. Estos podrían ser signos reveladores de que un infiltrado estuvo ahí”.

Correlacione los registros de autenticación de los extremos con los registros de Active Directory

“Si algún usuario antes solo utilizó tres o cuatro activos en la red, pero ahora está accediendo a un número significativamente mayor que el anterior en un corto periodo de tiempo, es muy posible que exista un infiltrado”, indica Mark Schloesser, investigador de seguridad en Rpid7. “También los registros de Active Directory (AD) deberían ser correlacionados y aumentados con aquellos de los extremos, ya que éstos incluyen los eventos locales de autenticación de cuentas que no serían visibles de ninguna otra manera para el AD”.