Los usuarios han necesitado desde hace mucho tiempo acceder a recursos importantes como redes privadas virtuales (VPN), aplicaciones web y servidores de correo en cualquier momento y parte del mundo. La capacidad de acceder a recursos desde cualquier lugar es necesaria para los empleados, lo que es utilizado a menudo por los actores de amenazas para aprovechar credenciales robadas para acceder a sistemas y datos. Debido al gran volumen de conexiones de acceso remoto, puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso.

Fireeye lanza GeoLogonalyzer para ayudar a las organizaciones a analizar registros (logs) para identificar inicios de sesión maliciosas basadas en la viabilidad geográfica, por ejemplo, es improbable que un usuario que se conecta a una VPN desde Nueva York a las 13:00 se conecte legítimamente a la VPN desde Australia cinco minutos más tarde.

Una vez que la actividad de autenticación se toma como punto de referencia en un entorno, los analistas pueden empezar a identificar actividad de autenticación que se desvía de los requerimientos empresariales y patrones normalizados, como por ejemplo:

1. Las cuentas de usuario que se autentican desde dos localizaciones distantes y en horarios entre los que el usuario probablemente no haya podido viajar en persona.
2. Cuentas de usuarios que normalmente inician sesión desde direcciones IP registradas en una localización física, como por ejemplo una ciudad, estado o país, pero también tienen accesos desde lugares donde no es probable que el usuario esté ubicado físicamente.
3. Cuentas de usuario que acceden desde una ubicación en el extranjero en la que no residen empleados o a la que no se espera que viajen y la organización no desarrolla negocios en ese lugar.
4. Cuentas de usuario que normalmente inician sesión desde una fuente de dirección IP, subred o ASN, pero tienen un pequeño número de accesos desde una fuente diferente de direcciones IP, subredes o ASN.
5. Cuentas de usuario que normalmente inician sesión desde el domicilio o redes de trabajo, pero también tienen inicios de sesión desde una dirección IP registrada a un proveedor de servicios de alojamiento en la nube.
6. Cuentas de usuario que inician sesión desde múltiples fuentes hostname o con varios clientes VPN.

GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros (logs) de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.

GeoLogonalyzer, herramienta gratuita de código abierto, puede ser descargado desde el GitHub de FireEye

Características de GeoLogonalyzer

Análisis de viabilidad de direcciones IP

En cada autenticación remota que registre la dirección IP de origen es posible estimar la ubicación desde la que se originó cada inicio de sesión usando datos como la base de datos de gratuita GeoIP de MaxMind. Con información adicional, como la marca horaria y el nombre de usuario, los analistas pueden identificar un cambio en la procedencia de la localización a lo largo del tiempo para determinar si es factible que ese usuario haya podido viajar entre dos ubicaciones físicas para llevar a cabo el inicio de sesión de forma legítima.

Análisis de proveedores de alojamiento de datos en la nube

Los atacantes saben que las organizacines podrían estar bloqueando o buscando conexiones desde localizaciones inesperadas. Una solución para los atacantes es establecer un proxy o en un servidor comprometido en otro país o incluso a través de servidores alquilados alojados en otro país por empresascomo AWS, DigitalOcean o Choopa.

Afortunadamente, el usuario de Githug “client9” rastrea muchos proveedores de alojamiento de datacenter en un formato de uso fácil con esta información, podemos intentar detectar atacantes que usen los proxy de los datacenter para evitar el análisis de viabilidad geográfica.

Prevenir los abusos de acceso remoto

Teniendo en cuenta que ningún método de análisis es perfecto, las siguientes recomendaciones pueden ayudar a los equipos de seguridad a prevenir el abuso de las plataformas de acceso remote e investigar sospechas de que se haya comprometido la seguridad.

1. Identificar y limitar las plataformas de acceso remoto que permiten acceder a información sensible desde Internet, como servidores VPN, sistemas con RDP o SSH expuesto, aplicaciones de terceras partes (por ejemplo, Citrix), intranet e infraestructuras de correo electrónico.
2. Implementar una solución de autenticación multifactor que use tokens de un único uso generados dinámicamente para todas las plataformas de acceso remoto.
3. Asegurarse de que los registros de autenticación de acceso remoto se registren, que sean reenviados a una herramienta de agregación de registros y guardados por al menos un año.
4. Hacer listas blancas de rangos de direcciones IP que está confirmado que son legítimos para los usuarios de acceso remoto basados en los registros de localización física o de punto de referencia. Si esto no es posible, hacer listas negras de rangos de direcciones IP para localizaciones físicas o proveedores de alojamiento en la nube que nunca deberían autenticarse de forma legítima en el portal de acceso remoto de la organización.
5. Utilizar o las funcionalidades del SIEM o GeoLogonalyzer para hacer un análisis de viabilidad geográfica de todos los accesos remotes con una frecuencia habitual para establecer un punto de referencia de las cuentas que realizan de forma legítima actividades de inicio de sesión inesperadas e identificar nuevas anomalías. Investigar las anomalías puede requerir contactar al propietario de la cuenta de usuario en cuestión. FireEye Helix analiza los datos de registro en tiempo real para todas las técnicas usadas por GeoLogonalyzer y algunas más.