19 Aug 2018




Caballos, Establos y Ransomware

Por: Everth Hernández, Director de Ingeniería de Sistemas en Aruba México. Hay un dicho perfecto para describir una situación en la que el remedio a un problema llega demasiado tarde: “Es como cerrar la puerta de un

Por: Everth Hernández, Director de Ingeniería de Sistemas en Aruba México.
Hay un dicho perfecto para describir una situación en la que el remedio a un problema
llega demasiado tarde: “Es como cerrar la puerta de un establo después de que el caballo
fue robado.”
 
Cuando analizamos las soluciones analíticas de comportamiento de usuario y entidades
(UEBA) se encargan de ataques mediante correo electrónico como spearfishing y
ransomware, nos damos cuenta que su enfoque es “mira cómo te mostramos los datos
saliendo de tu organización” en vez de “hemos visto un correo que al parecer puede llevar
a un ataque.” En otras palabras: “el caballo se está yendo, buena suerte.”
Mientras que cualquier notificación de un ataque en progreso (o incluso terminado) es
necesaria para el control de daños y limpieza, nuevas tecnologías como el aprendizaje
autónomo deberían ser mejores que eso.
Mucho se ha logrado gracias al valor del aprendizaje autónomo y la analítica del
comportamiento—usualmente presentadas como solución UEBA—para detectar ciber-
ataques que han evadido defensas en tiempo real y típicamente enmascaradas con
credenciales legítimas de usuarios.
La “E” en UEBA se refiere a “entidad.” Una entidad puede ser un usuario, un host, una
aplicación, en realidad, cualquier actor de TI con una dirección IP, incluso de IoT. Hasta
ahora, el aprendizaje autónomo de UEBA ha sido aplicado para encontrar pequeños
cambios en el comportamiento del usuario o host que, cuando se recolectan con el
tiempo y se ponen en contexto, indicarán la lenta incubación de un ataque. En otras
palabras, un foco en el usuario o sistema en riesgo.
Aruba ha expandido la definición de “entidad” para incluir ahora al atacante con nuestro
producto UEBA, IntroSpect. A través del uso de los modelos de aprendizaje autónomo de
UEBA que se enfocan en las tácticas que perjudican la seguridad, analistas de seguridad
verán estos intentos antes en la cadena de acciones y pueden tomar medidas para
interceptar los ataques antes de que causen daño.
Este avance vino de un estudio exhaustivo de campañas de ataque basadas en correos,
por el equipo de investigación de amenazas de IntroSpect. En un estudio publicado, “Using
Behavioral Analytics to Detect Malicious Email Campaigns and Targeted Attacks,” cinco de
las campañas más letales, como Lokey, PostMoney y Witness, fueron escudriñadas
cuidadosamente para descubrir las herramientas, técnicas o procedimientos (TTPs) usados
por atacantes. Con base en las “autopsias” de estos ataques, los investigadores de
IntroSpect señalaron los signos críticos de ataques basados en correos que incluyen:
 
 Suplantación de nombre

 Campaña dirigida
 Origen
 Duración
El hallazgo más importante del estudio es que los mismos algoritmos del aprendizaje
autónomo que IntroSpect usa para encontrar infiltrados riesgosos o maliciosos pueden ser
usados en registros de correo electrónico o en encabezados de correo reales para marcar
automáticamente ransomware, spearfishing, whaling, etc.
Por ejemplo, una típica campaña de ataque de correos intentará engañar al usuario
suplantando la dirección del emisor reemplazando la “i” con una “l” o una “o” con un cero
o haciendo un pequeño cambio que fácilmente pasa desapercibido: en vez de
“IntroSpect”, sería “InterSpect”. Con modelos de aprendizaje autónomo especialmente
preparados, IntroSpect puede señalar estos cambios sutiles y combinarlos con otros
comportamientos de ataque para arrojar un testigo fiable, y procesable antes de que los
archivos se congelen o la información salga de la organización.
De acuerdo con el reporte de 2017: Verizon Data Breach Investigations Report, 95% de los
ataques por phishing que llevaron a un daño fueron seguidos por alguna forma de
instalación de software. De estos ataques de suplantación de identidad: Tres cuartos
fueron motivados financieramente y un cuarto estuvo enfocado en operaciones de
espionaje. A pesar del conjunto de defensas de seguridad, centrados o no en correo
electrónico, estos ataques siguen traspasando y solo son notados cuando vuela la
información o se corrompen los archivos.
IntroSpect ha abierto un nuevo frente en la guerra contra ataques mediante correo
electrónico. Combinando las anomalías detectadas en el comportamiento del atacante
con otras alertas relevantes, las puertas pueden ser observadas y los caballos están
protegidos- antes de que se haga el daño.

Review overview
NO COMMENTS

Sorry, the comment form is closed at this time.