miércoles, 4 de julio de 2018

Microsoft ATA - Advanced Threat Analytics

Introducción:
Hoy no siguen llamando empresas por que han sufrido algún tipo de ataque de ransomware y cuando analizamos la situación, observamos que los códigos maliciosos estaban en la red hace varios días, intentando acceder a la información, borrar backups, buscar PC vulnerables, etc.
Por otro lado tenemos las problemáticas de los antimalware (hoy considero que están a un 30 % de protección para evitar un código malicioso tipo ransomware), que cada vez tienen más funcionalidades que entre todas intentan bloquear la ejecución de los scripts o lineas de ejecución y desde el lado del usuario poseen PC con S.O Microsoft con buenos recursos de CPU (core i5 u core i7), con buena cantidad de RAM y discos SATA lentos, provocando que el comportamiento del equipo sea lento por que el antimalware está todo el tiempo analizando los accesos al disco (y no hablemos cuando el antimalware está configurado de manera predeterminada, el mismo dinamita el uso de la PC).
En los últimos casos, vemos, que a pesar que las plataformas poseen Microsoft Active Directory, los administradores no tienen el control de la plataforma y no saben que ocurre en ella. Es por eso, que este artículo quiere dar un poco de luz sobre esto y comentarles sobre una solución que provee Microsoft para entender el comportamiento de la red, equipos y recursos que estén conectados a ella.

Microsoft a puesto a disposición Microsoft ATA.

Qué es Microsoft ATA?
ATA es una plataforma local que le ayuda a proteger a su empresa de ataques dirigidos avanzados analizando, descubriendo e identificando automáticamente comportamientos de la entidad (usuario, dispositivos y recursos) normales y anormales, evitando implementar esto en soluciones de antimalware que lo único que provoca es consumir recursos de los S.O.

Como trabaja ATA?
ATA aprovecha un motor de análisis de red patentado para capturar y analizar el tráfico de red de múltiples protocolos (como Kerberos, DNS, RPC, NTLM y otros) para la autenticación, la autorización y la recopilación de información.
Esta información es recopilada por ATA a través de:

  • Duplicación de puertos desde controladores de dominio y servidores DNS a la puerta de enlace ATA y / o
  • Implementación de una ATA Lightweight Gateway (LGW) directamente en controladores de dominio.

ATA toma información de múltiples fuentes de datos, como registros y eventos en su red, para conocer el comportamiento de los usuarios y otras entidades de la organización y crear un perfil de comportamiento sobre ellos.
ATA, por otro lado, también puede recibir eventos y registros de:
  • Integración SIEM
  • Reenvío de eventos de Windows (WEF)
  • Directamente desde el recopilador de eventos de Windows (para la puerta de enlace de peso ligero)
Qué hace ATA?
La tecnología ATA detecta múltiples actividades sospechosas, centrándose en varias fases de la cadena de ataque cybernético, que incluyen:
  • Reconocimiento, durante el cual los atacantes recopilan información sobre cómo se construye el entorno, cuáles son los diferentes activos y qué entidades existen. Por lo general, construyen su plan para las siguientes fases del ataque. Este comportamiento muy habitual en un ransomware que buscan archivos de backup para eliminarlos antes de cifrar las fuentes de datos originales, por ejemplo.
  • Ciclo de movimiento lateral, durante el cual un atacante invierte tiempo y esfuerzo en extender su superficie de ataque dentro de su red. También sirve para detectar casos de minería de bitcoins.
  • Dominio de dominio (persistencia), durante el cual un atacante captura la información que le permite reanudar su campaña utilizando varios conjuntos de puntos de entrada, credenciales y técnicas.
Estas fases de un ciberataque son similares y predecibles, sin importar qué tipo de compañía se encuentre bajo ataque o a qué tipo de información se dirige. ATA busca tres tipos principales de ataques: ataques maliciosos, comportamiento anormal y problemas y riesgos de seguridad.
Los ataques maliciosos se detectan de forma determinista, buscando la lista completa de los tipos de ataque conocidos, que incluyen:
  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replications
  • Reconnaissance
  • Brute Force
  • Remote execution
ATA detecta el comportamiento anormal utilizando análisis de comportamiento y aprovecha el aprendizaje automático para descubrir actividades cuestionables y comportamientos anormales en usuarios y dispositivos de su red, que incluyen:
  •     Inicios anómalos
  •     Amenazas desconocidas
  •     Compartir la contraseña
  •     Movimiento lateral
  •     Modificación de grupos sensibles
Puede ver actividades sospechosas de este tipo en el Tablero de ATA. En el siguiente ejemplo, ATA le avisa las alertas de menor a mayor




ATA también detecta problemas y riesgos de seguridad, que incluyen:
  •     Confianza rota
  •     Protocolos débiles
  •     Vulnerabilidades conocidas del protocolo
Arquitectura ATA
ATA supervisa el tráfico de red de su controlador de dominio mediante la duplicación de puertos a una puerta de enlace ATA mediante conmutadores físicos o virtuales. Si despliega ATA Lightweight Gateway directamente en sus controladores de dominio, elimina el requisito de duplicación de puertos. Además, ATA puede aprovechar los eventos de Windows (reenviados directamente desde los controladores de su dominio o desde un servidor SIEM) y analizar los datos en busca de ataques y amenazas. Esta sección describe el flujo de redes y captura de eventos y ejercicios para describir la funcionalidad de los componentes principales de ATA: la puerta de enlace ATA, ATA Lightweight Gateway (que tiene la misma funcionalidad básica que ATA Gateway) y ATA Center.




Es una solución muy simple de implementar, si se siguen las recomendaciones que adjunto en este link en donde podrá acceder a una herramienta de sizing,  que provee Microsoft.

Les dejo algunas referencias que pueden serles de utilidad

1) Acceder a la herramienta y paso a paso la instalación: https://docs.microsoft.com/es-es/advanced-threat-analytics/install-ata-step1

2) Guia de como investigar actividades sospechosas: https://docs.microsoft.com/es-es/advanced-threat-analytics/suspicious-activity-guide

3) Video explicación básica: https://docs.microsoft.com/es-es/advanced-threat-analytics/suspicious-activity-guide

Ventajas:
1) No consume recursos de los S.O monitoreados o de la red.
2) Análisis en caliente del comportamiento de la plataforma.
3) Contar con información para análisis forense.
4) Se puede integrar con SIEM para potenciar el ATA.

En un próximo articulo mostraremos como ATA nos permitirá detectar un ataque de ransomware o un intento de intrusión de un empleado deshonesto.

Hasta la Proxima

Fuente: Microsoft

MVP - 13 años ininterrumpidos

En febrero recibimos el premio por  mayor conocimiento en Ciberseguridad en LATAM por Cibersecurity Insider y ayer, por decimo tercer año consecutivo Microsoft nos vuelve a premiar como MVP. Adjunto la nota que nos hace llegar Microsoft para Uds.
Gracias a todos los que visitan nuestro blog y colaboran.



Asunto: Enrique Dutra,Most Valuable Professional (MVP),Cloud and Datacenter Management

A quien corresponda:
Es todo un placer comunicarle que Enrique Dutra ha recibido el reconocimiento “Microsoft®
Most Valuable Professional” (MVP) para 01/07/2018 - 01/07/2019. El Premio MVP de Microsoft
tiene una vigencia anual y se otorga a aquellos líderes de la comunidad técnica que de forma
activa comparten su experiencia con la tecnología con usuarios y profesionales de todo el
mundo. Todo el equipo de Microsoft agradecemos la extraordinaria contribución de Enrique y
deseamos aprovechar esta oportunidad para mostrarle nuestra gratitud.
Los más de 4.000 MVPs actuales representan el grupo más selecto de expertos en tecnologías
de Microsoft en todo el mundo. Los MVPs comparten un profundo compromiso con la
comunidad y la voluntad de ayudar a otros a crecer en conocimiento. Al mismo tiempo también
representan la gran diversidad de las comunidades técnicas de todo el mundo. Los MVPs
están presentes en más de 90 países, más de 40 idiomas y conocen una gran variedad de
tecnologías. Los MVPs transmiten su pasión por la tecnología, su voluntad de ayudar a los
demás y su gran compromiso con la comunidad. Estos tres aspectos definen a los MVPs como
excepcionales líderes de la Comunidad. El esfuerzo de los MVPs ayuda a mejorar la vida de
los demás y el éxito de la industria de muchas formas diferentes. Compartiendo sus
conocimientos y experiencia y dando feedback objetivo a Microsoft, ayudan a resolver
problemas y descubrir nuevas formas de utilización de la tecnología cada día. Los MVPs son el
grupo más brillante de expertos tecnológicos, por lo que es un gran placer para nosotros dar la
bienvenida a Enrique como uno de ellos.
Como forma de reconocimiento a la gran aportación realizada por los MVPs de todo el mundo,
Microsoft les brinda la oportunidad de reunirse con los miembros de los equipos de desarrollo
de producto de Microsoft así como otros ejecutivos de la empresa, conocer a otros MVPs y
representar a sus comunidades técnicas. Esto es posible a través de la participación como
ponentes en eventos, reuniones privadas y creación de contenido técnico original. Además los
MVPs tienen acceso temprano a la tecnología a tavés de una gran variedad de programas de
testeo de betas, bits y previews ofrecidos por Microsoft, que les mantiene informados casi en
tiempo real sobre el estado de la industria del hardware y el software.
Como miembro del grupo de galardonados con el Premio MVP de Microsoft de este año,
Enrique forma parte de este selecto grupo de personas de todo el mundo, que han demostrado
una excepcional voluntad de hacer llegar a los demás su conocimiento y experiencia para
ayudarles a optimizar el uso de la tecnología.

Atentamente,
The Microsoft Most Valuable Professional (MVP) Award Team
Microsoft Corporation