FireEye lanza la herramienta gratuita GeoLogonalyzer para detectar autenticaciones remotas maliciosas

25 junio, 2018
12 Compartido 1,229 Visualizaciones

Los usuarios han necesitado desde hace mucho tiempo acceder a recursos importantes como redes privadas virtuales (VPN), aplicaciones web y servidores de correo en cualquier momento y parte del mundo. La capacidad de acceder a recursos desde cualquier lugar es necesaria para los empleados, lo que es utilizado a menudo por los actores de amenazas para aprovechar credenciales robadas para acceder a sistemas y datos. Debido al gran volumen de conexiones de acceso remoto, puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso.

Fireeye lanza GeoLogonalyzer para ayudar a las organizaciones a analizar registros (logs) para identificar inicios de sesión maliciosas basadas en la viabilidad geográfica, por ejemplo, es improbable que un usuario que se conecta a una VPN desde Nueva York a las 13:00 se conecte legítimamente a la VPN desde Australia cinco minutos más tarde.

Una vez que la actividad de autenticación se toma como punto de referencia en un entorno, los analistas pueden empezar a identificar actividad de autenticación que se desvía de los requerimientos empresariales y patrones normalizados, como por ejemplo:

  1. Las cuentas de usuario que se autentican desde dos localizaciones distantes y en horarios entre los que el usuario probablemente no haya podido viajar en persona.
  2. Cuentas de usuarios que normalmente inician sesión desde direcciones IP registradas en una localización física, como por ejemplo una ciudad, estado o país, pero también tienen accesos desde lugares donde no es probable que el usuario esté ubicado físicamente.
  3. Cuentas de usuario que acceden desde una ubicación en el extranjero en la que no residen empleados o a la que no se espera que viajen y la organización no desarrolla negocios en ese lugar.
  4. Cuentas de usuario que normalmente inician sesión desde una fuente de dirección IP, subred o ASN, pero tienen un pequeño número de accesos desde una fuente diferente de direcciones IP, subredes o ASN.
  5. Cuentas de usuario que normalmente inician sesión desde el domicilio o redes de trabajo, pero también tienen inicios de sesión desde una dirección IP registrada a un proveedor de servicios de alojamiento en la nube.
  6. Cuentas de usuario que inician sesión desde múltiples fuentes hostname o con varios clientes VPN.

GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros (logs) de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.

GeoLogonalyzer, herramienta gratuita de código abierto, puede ser descargado desde el GitHub de FireEye

Características de GeoLogonalyzer

Análisis de viabilidad de direcciones IP

En cada autenticación remota que registre la dirección IP de origen es posible estimar la ubicación desde la que se originó cada inicio de sesión usando datos como la base de datos de gratuita GeoIP de MaxMind. Con información adicional, como la marca horaria y el nombre de usuario, los analistas pueden identificar un cambio en la procedencia de la localización a lo largo del tiempo para determinar si es factible que ese usuario haya podido viajar entre dos ubicaciones físicas para llevar a cabo el inicio de sesión de forma legítima.

Análisis de proveedores de alojamiento de datos en la nube

Los atacantes saben que las organizacines podrían estar bloqueando o buscando conexiones desde localizaciones inesperadas. Una solución para los atacantes es establecer un proxy o en un servidor comprometido en otro país o incluso a través de servidores alquilados alojados en otro país por empresascomo AWS, DigitalOcean o Choopa.

Afortunadamente, el usuario de Githug “client9” rastrea muchos proveedores de alojamiento de datacenter en un formato de uso fácil con esta información, podemos intentar detectar atacantes que usen los proxy de los datacenter para evitar el análisis de viabilidad geográfica.

Prevenir los abusos de acceso remoto

Teniendo en cuenta que ningún método de análisis es perfecto, las siguientes recomendaciones pueden ayudar a los equipos de seguridad a prevenir el abuso de las plataformas de acceso remote e investigar sospechas de que se haya comprometido la seguridad.

  1. Identificar y limitar las plataformas de acceso remoto que permiten acceder a información sensible desde Internet, como servidores VPN, sistemas con RDP o SSH expuesto, aplicaciones de terceras partes (por ejemplo, Citrix), intranet e infraestructuras de correo electrónico.
  2. Implementar una solución de autenticación multifactor que use tokens de un único uso generados dinámicamente para todas las plataformas de acceso remoto.
  3. Asegurarse de que los registros de autenticación de acceso remoto se registren, que sean reenviados a una herramienta de agregación de registros y guardados por al menos un año.
  4. Hacer listas blancas de rangos de direcciones IP que está confirmado que son legítimos para los usuarios de acceso remoto basados en los registros de localización física o de punto de referencia. Si esto no es posible, hacer listas negras de rangos de direcciones IP para localizaciones físicas o proveedores de alojamiento en la nube que nunca deberían autenticarse de forma legítima en el portal de acceso remoto de la organización.
  5. Utilizar o las funcionalidades del SIEM o GeoLogonalyzer para hacer un análisis de viabilidad geográfica de todos los accesos remotes con una frecuencia habitual para establecer un punto de referencia de las cuentas que realizan de forma legítima actividades de inicio de sesión inesperadas e identificar nuevas anomalías. Investigar las anomalías puede requerir contactar al propietario de la cuenta de usuario en cuestión. FireEye Helix analiza los datos de registro en tiempo real para todas las técnicas usadas por GeoLogonalyzer y algunas más.

Te podría interesar

Desafíos de Ciberseguridad en el sector de los pagos en 2018
FINTECH
35 compartido878 visualizaciones
FINTECH
35 compartido878 visualizaciones

Desafíos de Ciberseguridad en el sector de los pagos en 2018

Samuel Rodríguez - 21 febrero, 2018

Sea cual sea el objetivo de los ciberataques, una PYME, un banco o empresas de dinero electrónico, éstos son prácticamente iguales…

Se recomienda actualizar Windows 10 por una vulnerabilidad que permite a Cortana acceder a los documentos
Security Breaches
14 compartido2,010 visualizaciones
Security Breaches
14 compartido2,010 visualizaciones

Se recomienda actualizar Windows 10 por una vulnerabilidad que permite a Cortana acceder a los documentos

Mónica Gallego - 21 junio, 2018

Microsoft recomienda actualizar Windows 10 debido una vulnerabilidad que permite que Cortana acceda a datos del usuario aún con Windows…

La ciberseguridad, uno de los factores clave a la hora de invertir en una compañía
Soluciones Seguridad
17 compartido1,807 visualizaciones
Soluciones Seguridad
17 compartido1,807 visualizaciones

La ciberseguridad, uno de los factores clave a la hora de invertir en una compañía

Mónica Gallego - 6 noviembre, 2018

S2 Grupo prevé que la preocupación por la ciberseguridad aumente en los próximos años y esto provocará que sea uno…

Deje un comentario

Su email no será publicado