weerapat1003 - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Caballos, establos y ransomware

Combinar las anomalías en el comportamiento del atacante con otras alertas relevantes permitirá ver los intentos de ataque antes en la cadena de acciones, para tomar medidas pertinentes.

Hay un dicho perfecto para describir una situación en la que el remedio a un problema llega demasiado tarde: “Es como cerrar la puerta de un establo después de que el caballo fue robado”.

Cuando analizamos las soluciones analíticas de comportamiento de usuario y entidades (UEBA) que se encargan de ataques mediante correo electrónico, como spearfishing y ransomware, nos damos cuenta que su enfoque es “mira cómo te mostramos los datos saliendo de tu organización”, en vez de “hemos visto un correo que al parecer puede llevar a un ataque.” En otras palabras: “El caballo se está yendo, buena suerte”.

Everth Hernández

Mientras que cualquier notificación de un ataque en progreso (o incluso terminado) es necesaria para el control de daños y limpieza, nuevas tecnologías como el aprendizaje autónomo deberían ser mejores que eso. Mucho se ha logrado gracias al valor del aprendizaje autónomo y la analítica del comportamiento –usualmente presentadas como solución UEBA– para detectar ciberataques que han evadido defensas en tiempo real y están típicamente enmascaradas con credenciales legítimas de usuarios.

La “E” en UEBA se refiere a “entidad.” Una entidad puede ser un usuario, un host, una aplicación, en realidad, cualquier actor de TI con una dirección IP e incluso de IoT. Hasta ahora, el aprendizaje autónomo de UEBA ha sido aplicado para encontrar pequeños cambios en el comportamiento del usuario o host que, cuando se recolectan con el tiempo y se ponen en contexto, indicarán la lenta incubación de un ataque. En otras palabras, un foco en el usuario o sistema en riesgo.

Aruba ha expandido la definición de “entidad” para incluir ahora al atacante en su producto UEBA, IntroSpect. A través del uso de los modelos de aprendizaje autónomo de UEBA que se enfocan en las tácticas que perjudican la seguridad, los analistas de seguridad verán estos intentos antes en la cadena de acciones y pueden tomar medidas para interceptar los ataques antes de que causen daño.

Este avance vino de un estudio exhaustivo de campañas de ataque basadas en correos, realizado por el equipo de investigación de amenazas de IntroSpect. En un estudio publicado, “Using Behavioral Analytics to Detect Malicious Email Campaigns and Targeted Attacks”, cinco de las campañas más letales, como Lokey, PostMoney y Witness, fueron escudriñadas cuidadosamente para descubrir las herramientas, técnicas o procedimientos (TTPs) usados por atacantes.

Con base en las “autopsias” de estos ataques, los investigadores de IntroSpect señalaron los signos críticos de ataques basados en correos, que incluyen:

  • Suplantación de nombre,
  • Campaña dirigida,
  • Origen,
  • Duración.

El hallazgo más importante del estudio es que los mismos algoritmos del aprendizaje autónomo que IntroSpect usa para encontrar infiltrados riesgosos o maliciosos pueden ser usados en registros de correo electrónico o en encabezados de correo reales para marcar automáticamente ransomware, spearfishing, whaling, etc.

Por ejemplo, una típica campaña de ataque de correos intentará engañar al usuario suplantando la dirección del emisor reemplazando la “i” con una “l”, o una “o” con un cero, o haciendo un pequeño cambio que fácilmente pasa desapercibido: en vez de “IntroSpect”, sería “InterSpect”. Con modelos de aprendizaje autónomo especialmente preparados, IntroSpect puede señalar estos cambios sutiles y combinarlos con otros comportamientos de ataque para arrojar un testigo fiable y procesable antes de que los archivos se congelen o la información salga de la organización.

De acuerdo con el reporte de 2017, Verizon Data Breach Investigations Report, 95% de los ataques por phishing que llevaron a un daño fueron seguidos por alguna forma de instalación de software. De estos ataques de suplantación de identidad, tres cuartos fueron motivados financieramente y un cuarto estuvo enfocado en operaciones de espionaje. A pesar del conjunto de defensas de seguridad, centrados o no en correo electrónico, estos ataques siguen traspasando y solo son notados cuando vuela la información o se corrompen los archivos.

Por eso, combinar las anomalías detectadas en el comportamiento del atacante con otras alertas relevantes permitirá observar las puertas y proteger a los caballos… antes de que se haga el daño.

Sobre el autor: Everth Hernández es director de ingeniería de sistemas en Aruba México.

Este artículo se actualizó por última vez en julio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close